په دې وروستیو کې، د بریښنا نصبولو تجهیزاتو یو اروپایی جوړونکي ګروپ-IB سره اړیکه ونیوله - د هغې کارمند په میل کې د ناوړه ضمیمه سره یو مشکوک لیک ترلاسه کړ. Ilya Pomerantsev، په CERT ګروپ-IB کې د مالویر تحلیل متخصص ، د دې فایل مفصل تحلیل ترسره کړ ، هلته یې د اجنټ ټیسلا سپایویر کشف کړ او ورته یې وویل چې د داسې مالویر څخه څه تمه کیدی شي او دا څنګه خطرناک دی.
د دې پوسټ سره موږ د داسې احتمالي خطرناکو فایلونو تحلیل کولو څرنګوالي په اړه د مقالو لړۍ پرانیزو ، او موږ د دسمبر په 5 مه د موضوع په اړه د وړیا متقابل ویبینار لپاره خورا لیوالتیا ته په تمه یو. "د مالویر تحلیل: د اصلي قضیو تحلیل". ټول توضیحات د کټ لاندې دي.
د ویش میکانیزم
موږ پوهیږو چې مالویر د فشینګ بریښنالیکونو له لارې د قرباني ماشین ته رسیدلی. د لیک ترلاسه کوونکی شاید BCC شوی و.
د سرلیکونو تحلیل ښیي چې د لیک لیږونکی جعلي و. په حقیقت کې، لیک ورسره پاتې شو vps56[.]oneworldhosting[.]com.
د بریښنالیک ضمیمه د WinRar آرشیف لري qoute_jpeg56a.r15 د ناوړه اجرا وړ فایل سره QOUTE_JPEG56A.exe دننه.
د مالویر ایکوسیستم
اوس راځئ وګورو چې د مطالعې لاندې د مالویر ایکوسیستم څه ډول ښکاري. لاندې انځور د هغې جوړښت او د اجزاوو د تعامل لارښوونې ښیي.
اوس راځئ چې د مالویر هرې برخې ته په ډیر تفصیل سره وګورو.
لوډر
اصلي دوتنه QOUTE_JPEG56A.exe تالیف شوی دی AutoIt v3 سکریپټ
د اصلي سکریپټ د ګډوډولو لپاره، د ورته سره یو خنډونکی PELock AutoIT-Obfuscator ځانګړتیاوې
بې ځایه کول په دریو مرحلو کې ترسره کیږي:
- د خنډونو لرې کول لپاره-که
لومړی ګام د سکریپټ کنټرول جریان بحالول دي. د کنټرول فلو فلیټینګ یو له خورا عامو لارو څخه دی چې د غوښتنلیک بائنری کوډ له تحلیل څخه خوندي کړي. ګډوډ بدلونونه په ډراماتیک ډول د الګوریتمونو او ډیټا جوړښتونو استخراج او پیژندلو پیچلتیا ډیروي.
- د قطار بیا رغونه
دوه دندې د تارونو د کوډ کولو لپاره کارول کیږي:
- gdorizabegkvfca - د بیس 64 په څیر کوډ کول ترسره کوي
- xgacyukcyzxz - د لومړي تار ساده بایټ بایټ XOR د دوهم اوږدوالي سره
- د خنډونو لرې کول BinaryToString и چلول
اصلي بار په ډایرکټر کې په ویشل شوي شکل کې زیرمه کیږي فونټونه د فایل سرچینې برخې.
د ګل کولو ترتیب په لاندې ډول دی: TIEQHCXWFG, EMI, د SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
د WinAPI فنکشن د استخراج شوي ډاټا د کوډ کولو لپاره کارول کیږي CryptDecrypt، او د ارزښت پراساس رامینځته شوي سیشن کیلي د کیلي په توګه کارول کیږي fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
د کوډ شوي اجرا وړ فایل د فنکشن ان پټ ته لیږل کیږي رن ای پی، کوم چې ترسره کوي ProcessInject в RegAsm.exe جوړ شوی کارول شیل کوډ (په نوم هم پیژندل کیږي د چلولو شیل کوډ). لیکوالي د هسپانوي فورم کارونکي پورې اړه لري د کشف وړ [.]جال د وارډو تر نامه لاندې.
دا هم د یادولو وړ ده چې د دې فورم په یوه برخه کې د دې لپاره یو خنډ دی په چت کې د ورته ځانګړتیاو سره چې د نمونې تحلیل په جریان کې پیژندل شوي.
پخپله شیل کوډ خورا ساده او پاملرنه راجلبوي یوازې د هیکر ګروپ AnunakCarbanak څخه پور اخیستل شوی. د API کال هش کولو فنکشن.
موږ د کارولو قضیو څخه هم خبر یو فرانسوي شیل کوډ مختلف نسخې.
د بیان شوي فعالیت سربیره، موږ غیر فعال فعالیتونه هم پیژندلي:
- په ټاسک مدیر کې د لارښود پروسې پای بندول
- د ماشوم پروسې بیا پیل کول کله چې پای ته ورسیږي
- د UAC بای پاس
- په فایل کې د تادیې بار خوندي کول
- د موډل کړکیو ښودنه
- د موږک کرسر موقعیت بدلولو ته انتظار کول
- AntiVM او AntiSandbox
- ځان تباه کول
- د شبکې څخه د پایلوډ پمپ کول
موږ پوهیږو چې دا ډول فعالیت د محافظت لپاره ځانګړی دی CypherIT، کوم چې په ښکاره ډول د پوښتنې لاندې بوټلوډر دی.
د سافټویر اصلي ماډل
بیا، موږ به په لنډه توګه د مالویر اصلي ماډل تشریح کړو، او په دویمه مقاله کې به یې په تفصیل سره په پام کې ونیسو. په دې حالت کې، دا یو غوښتنلیک دی شارپ.
د تحلیل په جریان کې، موږ وموندله چې یو خنډ کارول شوی و ConfuserEX.
IElibrary.dll
کتابتون د اصلي ماډل سرچینې په توګه زیرمه شوی او د دې لپاره یو مشهور پلگ ان دی AgentTesla، کوم چې د انټرنیټ اکسپلورر او ایج براوزرونو څخه د مختلف معلوماتو استخراج لپاره فعالیت چمتو کوي.
اجنټ ټیسلا یو ماډلر جاسوسي سافټویر دی چې د یو مشروع کیلاګر محصول تر پوښښ لاندې د مالویر په توګه د خدمت ماډل په کارولو سره توزیع شوی. اجنټ ټیسلا د براؤزرونو ، بریښنالیک پیرودونکو او FTP پیرودونکو څخه سرور ته برید کونکو ته د کارونکي اسناد استخراج او لیږدولو ، د کلپ بورډ ډیټا ثبتولو ، او د وسیلې سکرین نیول کولو وړتیا لري. د تحلیل په وخت کې، د پراختیا کونکو رسمي ویب پاڼه شتون نلري.
د ننوتلو نقطه فعالیت دی GetSavedPasswords د انټرنیټ اکسپلورر ټولګي.
په عموم کې ، د کوډ اجرا کول خطي دي او د تحلیل پروړاندې هیڅ محافظت نلري. یوازې غیر واقع شوی فعالیت د پاملرنې وړ دی GetSavedCookies. په ښکاره ډول، د پلگ ان فعالیت باید پراخ شي، مګر دا هیڅکله نه و ترسره شوی.
سیسټم ته د بوټلوډر ضمیمه کول
راځئ چې مطالعه وکړو چې څنګه بوټلوډر سیسټم سره وصل دی. د مطالعې لاندې نمونه لنگر نه کوي، مګر په ورته پیښو کې دا د لاندې سکیم سره سم واقع کیږي:
- په فولډر کې ج: کارنان عامه سکریپټ جوړ شوی شارپ
د سکریپټ مثال:
- د لوډر فایل مینځپانګه د ناپاک کرکټر سره پیډ شوي او فولډر ته خوندي شوي %Temp%د فایل نوم>
- د سکریپټ فایل لپاره په راجسټری کې د آٹورون کیلي رامینځته کیږي HKCUSsoftwareMicrosoftWindowsCurrentVersionRun
نو، د تحلیل د لومړۍ برخې د پایلو پراساس، موږ وکولای شو چې د مطالعې لاندې د مالویر د ټولو برخو د کورنیو نومونه جوړ کړو، د انفیکشن بڼه تحلیل کړو، او د لاسلیکونو لیکلو لپاره توکي هم ترلاسه کړو. موږ به په راتلونکي مقاله کې د دې اعتراض تحلیل ته دوام ورکړو ، چیرې چې موږ به اصلي ماډل په ډیر تفصیل سره وګورو AgentTesla. مه هیروئ!
په هرصورت، د دسمبر په 5 موږ ټولو لوستونکو ته د "مالویر تحلیل: د اصلي قضیو تحلیل" موضوع باندې وړیا متقابل ویبینار ته بلنه ورکوو، چیرې چې د دې مقالې لیکوال، د CERT-GIB متخصص، به د آنلاین لومړۍ مرحله ښکاره کړي. د مالویر تحلیل - د تمرین څخه د دریو اصلي مینی قضیو مثال په کارولو سره د نمونو نیمه اتوماتیک پیک کول ، او تاسو کولی شئ په تحلیل کې برخه واخلئ. ویبینار د متخصصینو لپاره مناسب دی څوک چې دمخه د ناوړه فایلونو تحلیل کې تجربه لري. راجسټریشن په کلکه د کارپوریټ بریښنالیک څخه دی:
راجستر . تاسو ته په تمه یم!
Yara
rule AgentTesla_clean{
meta:
author = "Group-IB"
file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
scoring = 5
family = "AgentTesla"
strings:
$string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
$web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
all of them
}
rule AgentTesla_obfuscated {
meta:
author = "Group-IB"
file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
scoring = 5
family = "AgentTesla"
strings:
$first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
$second_names = "IELibrary.resources"
condition:
all of them
}
rule AgentTesla_module_for_IE{
meta:
author = "Group-IB"
file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
scoring = 5
family = "AgentTesla_module_for_IE"
strings:
$s0 = "ByteArrayToStructure"
$s1 = "CryptAcquireContext"
$s2 = "CryptCreateHash"
$s3 = "CryptDestroyHash"
$s4 = "CryptGetHashParam"
$s5 = "CryptHashData"
$s6 = "CryptReleaseContext"
$s7 = "DecryptIePassword"
$s8 = "DoesURLMatchWithHash"
$s9 = "GetSavedCookies"
$s10 = "GetSavedPasswords"
$s11 = "GetURLHashString"
condition:
all of them
}
rule RunPE_shellcode {
meta:
author = "Group-IB"
file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
scoring = 5
family = "RunPE_shellcode"
strings:
$malcode = {
C7 [2-5] EE 38 83 0C // mov dword ptr [ebp-0A0h], 0C8338EEh
C7 [2-5] 57 64 E1 01 // mov dword ptr [ebp-9Ch], 1E16457h
C7 [2-5] 18 E4 CA 08 // mov dword ptr [ebp-98h], 8CAE418h
C7 [2-5] E3 CA D8 03 // mov dword ptr [ebp-94h], 3D8CAE3h
C7 [2-5] 99 B0 48 06 // mov dword ptr [ebp-90h], 648B099h
C7 [2-5] 93 BA 94 03 // mov dword ptr [ebp-8Ch], 394BA93h
C7 [2-5] E4 C7 B9 04 // mov dword ptr [ebp-88h], 4B9C7E4h
C7 [2-5] E4 87 B8 04 // mov dword ptr [ebp-84h], 4B887E4h
C7 [2-5] A9 2D D7 01 // mov dword ptr [ebp-80h], 1D72DA9h
C7 [2-5] 05 D1 3D 0B // mov dword ptr [ebp-7Ch], 0B3DD105h
C7 [2-5] 44 27 23 0F // mov dword ptr [ebp-78h], 0F232744h
C7 [2-5] E8 6F 18 0D // mov dword ptr [ebp-74h], 0D186FE8h
}
condition:
$malcode
}
rule AgentTesla_AutoIT_module{
meta:
author = "Group-IB"
file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
scoring = 5
family = "AgentTesla"
strings:
$packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
all of them
}
ټوپونه
نوم | qoute_jpeg56a.r15 |
MD5 | 53BE8F9B978062D4411F71010F49209E |
شاکونیمکس | A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
شاکونیمکس | 2641DAFB452562A0A92631C2849B8B9CE880F0F8F
890E643316E9276156EDC8A |
ډول | آرشیف WinRAR |
اندازه | 823014 |
نوم | QOUTE_JPEG56A.exe |
MD5 | 329F6769CF21B660D5C3F5048CE30F17 |
شاکونیمکس | 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
شاکونیمکس | 49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08
C05B5E3BD36FD52668D196AF |
ډول | PE (تالیف شوی AutoIt سکریپټ) |
اندازه | 1327616 |
اصلي نوم | نامعلوم |
DateStamp | 15.07.2019 |
تړونکی | د مایکروسافټ لینکر(12.0)[EXE32] |
MD5 | C2743AEDDADACC012EF4A632598C00C0 |
شاکونیمکس | 79B445DE923C92BF378B19D12A309C0E9C5851BF |
شاکونیمکس | 37A1961361073BEA6C6EACE6A8601F646C5B6ECD
9D625E049AD02075BA996918 |
ډول | شیل کوډ |
اندازه | 1474 |
سرچینه: www.habr.com